Il sistema di controllo interno e la sua valutazione ai fini della revisione contabile 1 Le componenti del rischio di revisione Rischio inerente X Il rischio di revisione Rischio di controllo La possibilità che un’asserzione contenga errori significativi, supponendo che non vi sia un controllo interno Il rischio che eventuali errori significativi non siano evitati io scoperti dai controlli interni X Rischio di individuazione Il rischio che il revisore non individui un errore significativo contenuto nel bilancio 2 Il controllo interno Il controllo interno è il mezzo attraverso il quale la direzione di un’impresa controlla lo svolgersi della propria attività Si sostanzia in un complesso di direttive, di procedure e delle tecniche adottate da un’impresa per raggiungere una serie di obiettivi 3 Gli obiettivi del controllo interno verificare che vengano effettivamente rispettate le procedure interne, sia operative che amministrative, adottate al fine di garantire una efficace ed efficiente gestione identificare, prevenire e gestire, nei limiti del possibile, i rischi di natura finanziaria ed operativa e le frodi a danno della società garantire l’attendibilità dei dati garantire il rispetto delle normative di legge garantire la salvaguardia del patrimonio aziendale 4 L’oggetto del controllo interno Il controllo interno può avere come oggetto: gli aspetti gestionali dell’azienda (controllo gestionale) la corretta rappresentazione contabile dei fatti aziendali e la salvaguardia del patrimonio (controllo amministrativocontabile) 5 Il controllo amministrativo-contabile E’ l’insieme di procedure e tecniche che garantiscono alla direzione aziendale: la conformità delle operazioni svolte alle direttive generali o specifiche impartite la corretta registrazione e rendicontazione (in bilanci e situazioni contabili) delle operazioni la salvaguardia del patrimonio aziendale la conformità delle operazioni svolte alla normativa in vigore 6 Il controllo amministrativo-contabile Informazione Informazione Procedure di rilevazione (cattura) e di aggregazione dei dati Informazione Terzi Azienda Controllo interno Bilancio e report Bilancio 7 Gli elementi del sistema di controllo interno L’analisi del sistema di controllo interno prevede la documentazione e la valutazione dei suoi elementi principali: 1. la gestione del rischio d’impresa 2. l’ambiente di controllo interno 3. il sistema di informazione e comunicazione 4. l’attività di controllo: - i controlli generali - i controlli specifici 8 1. La gestione del rischio d’impresa: perché è importante? Se il management della società non è in grado di identificare ed analizzare gli aspetti relativi ad un rischio significativo, possono nascere delle passività materiali di cui il management stesso può non essere a conoscenza. Conseguentemente, queste passività potrebbero non essere riflesse nel bilancio redatto dal management della società. 9 1. La gestione del rischio d’impresa Domande chiave: come il management della società identifica ed analizza i rischi connessi al proprio business? il management intraprende le appropriate azioni al fine di gestire o controllare questi rischi? l’analisi - dei rischi tiene conto dei fattori chiave quali: normativa vigente condizioni economiche e politiche cambiamenti tecnologici concorrenti fonti di approvvigionamento clienti, fornitori, alleanze, ecc. 10 2. L’ambiente di controllo interno: perché è importante? L’ambiente di controllo interno è la base (fondamentale) di un buon sistema di controllo interno. L’ambiente di controllo interno è strettamente legato all’ambiente organizzativo che delinea il management della società ed influenza la coscienza connessa alla validità dell’attività di controllo del personale in forza presso la società. L’ambiente di controllo interno è fondamentale in quanto influenza il modo in cui il management valuta e controlla il rischio, il modo in cui le informazioni e le comunicazioni vengono strutturate ed il modo in cui vengono disegnate ed implementate le attività di 11 controllo. 2. L’ambiente di controllo interno Domande chiave: La società è sensibile all’importanza del sistema di controllo interno? Negli obiettivi del management della società vi è il controllo del business risk? Il personale è capace di controllare il business risk? Esiste una struttura organizzativa adeguata 12 2. L’ambiente di controllo interno: la struttura organizzativa adeguata Un’adeguata struttura organizzativa ha i seguenti requisiti: - definisce i diversi livelli di responsabilità e di autorità - definisce i rapporti di coordinazione e subordinazione che intercorrono tra le diverse funzioni dell’azienda - identifica chiaramente le attribuzioni assegnate ad ogni funzione e i compiti svolti dalle singole persone che di esso fanno parte - documenta le procedure e le direttive e le comunica al personale interessato 13 3. Sistema di informazione e comunicazione E’ l’insieme delle procedure per la rilevazione e il trattamento delle informazioni necessarie per il raggiungimento degli obiettivi aziendali. Riguarda: - le informazioni: identificate (catturate), rilevate e trasmesse nella forma e con la tempistica che permetta agli operatori di svolgere i propri compiti - la comunicazione: le informazioni devono essere adeguatamente comunicate all’interno dell’azienda, tra le diverse unità operative, e all’esterno quando necessario 14 3. Sistema di informazione e comunicazione: obiettivi del sistema informativo Obiettivi del sistema informativo: - “catturare” in modo accurato e tempestivo le informazioni relative a tutte e solo le transazioni di pertinenza dell’azienda - “processare” le informazioni al fine di renderle disponibili e intellegibili per le finalità del caso - “consuntivare” le informazioni sotto forma di report di carattere sia contabile che gestionale - “trasmettere” le informazioni alle interessate con tempistiche adeguate persone 15 3. Sistema di informazione e comunicazione Domande chiave: le informazioni che il management della società ottiene per gestire la propria attività sono sufficienti, accurate e tempestive? le informazioni connesse all’attività svolta sono riflesse, in modo accurato, nel bilancio? il sistema informativo è coerente con la realtà aziendale (dimensioni, caratteristiche, ecc.)? esiste un adeguato processo di comunicazione all’interno dell’organizzazione aziendale e verso l’esterno? 16 3. Sistema di informazione e comunicazione Il revisore deve quindi individuare le classi di transazioni significative e capire: - come i dati (transazioni) vengono catturati (input) e processati (processing) - quali output vengono elaborati/consuntivati e a chi sono destinati 17 3. Sistema di informazione e comunicazione Il revisore contabile, nel suo processo di analisi del sistema di controllo interno, deve documentare il sistema informativo con: - flowcharts - memorandum descrittivi delle procedure amministrative e contabili - questionari 18 3. Sistema di informazione e comunicazione Effetti correlati ad una carenza insita nel sistema di informazione e comunicazione In linea generale, una carenza insita nel sistema in esame potrebbe essere molto grave in quanto: il sistema contabile potrebbe non essere in grado di catturare ed elaborare i dati relativi alle transazioni ricorrenti (routine transactions) le voci di bilancio soggette a stime (accounting estimates), quali ad esempio i fondi per rischi ed oneri, potrebbero non essere supportate da tutte le informazioni necessarie potrebbe non essere possibile svolgere la revisione contabile del bilancio senza una sostanziale rielaborazione 19 di tutte le informazioni ottenute dalla società 3. Che cosa implica l’esistenza di un efficiente ed efficace sistema di informazione e comunicazione Consente al revisore di: poter dare “affidabilità” al sistema di controllo interno ed utilizzare un approccio di revisione che riduca le verifiche documentali, per quanto riguarda la completezza, l’esistenza e l’accuratezza, sulle transazioni ricorrenti (routine transactions) focalizzare in modo appropriato ed efficiente la revisione sulle transazioni non ricorrenti (non routine transaction) e sulle stime di bilancio (accounting estimates) considerare adeguate le informazioni incluse nei bilanci interni o pubblici 20 4. Le attività di controllo Le attività di controllo sono l’insieme delle procedure aziendali che aiutano il management a verificare il rispetto delle direttive impartite Vengono svolte a diversi livelli all’interno della struttura La natura delle attività di controllo dipende dalla natura delle transazioni che si vogliono controllare 21 4. Le attività di controllo Le attività di controllo possono riguardare: controlli generali: contribuiscono a supportare l’efficacia del controllo interno ai fini dell’affidabilità dell’intero bilancio controlli specifici: si applicano a singoli flussi di transazioni e saldi di bilancio 22 4. Le attività di controllo: i controlli generali Perché sono importanti? Sebbene le attività connesse ai controlli generali non forniscano al revisore in modo diretto alcuna evidenza di revisione, esse influenzano il modo di svolgere la revisione contabile in quanto ci si aspetta in via preliminare che il management delle società abbia strutturato, quindi implementato, una serie di controlli generali. Nell’ambito dello svolgimento del lavoro di revisione si deve sempre verificare l’esistenza, controllare l’efficacia o accertare la mancanza di controlli generali. 23 4. Le attività di controllo: i controlli generali Perché sono importanti? Se i controlli generali esistono, sono efficaci e si ritiene siano soddisfacenti, il revisore può, con ogni probabilità, adottare un approccio di revisione basato sull’affidabilità del sistema di controllo interno. Al contrario, se non ritenuti soddisfacenti, il sistema di controllo interno potrebbe risultare non affidabile e il revisore dovrà utilizzare un approccio di revisione basato su significative analisi documentali . 24 4. Le attività di controllo: i controlli generali Sono di supporto ai controlli specifici (non li sostituiscono). Includono controlli: consuntivi: - controllo direzionale - revisione interna preventivi: - controlli generali del sistema informatico (IT) 25 4. Le attività di controllo: i controlli specifici Perché sono importanti? Se i controlli specifici esistono e sono efficaci, con ogni probabilità ci conviene ottenere l’evidenza probatoria di revisione per mezzo del controllo degli stessi. Nell’ambito dello svolgimento di questi controlli il revisore deve capire (obiettivo) se questi sono strutturati in modo tale che funzionino in modo sistematico ed affidabile nell’arco di tutto l’esercizio, quindi che riescano a prevenire o individuare e correggere gli errori che potrebbero avere un effetto sul bilancio. 26 4. Le attività di controllo: i controlli specifici Se il revisore vuole adottare un approccio di revisione basato sull’affidabilità del sistema di controllo interno deve: chiedersi quali sono i controlli specifici connessi alle attività di controllo attraverso cui il management della società ottiene tutte le informazioni relative all’attività svolta dalla società identificare, documentare e verificare i controlli specifici utilizzati dalla società 27 4. Le attività di controllo: i controlli specifici Al fine di poter adottare un approccio di revisione basato sul controllo interno, il revisore deve individuare e testare i controlli specifici legati alle attestazioni di bilancio. Al fine di verificare i controlli specifici selezionati, sarà necessario svolgere dei “tests of controls” quali ad esempio: enquiry observation ispezione documenti reperformance 28 4. Le attività di controllo: i controlli specifici I controlli specifici possono essere: di basso livello (lower level controls) di alto livello (higher level controls) 29 4. Le attività di controllo: i controlli specifici Il revisore deve individuare uno o più controlli specifici sugli obiettivi di revisione che intende coprire. Il numero di controlli da selezionare dipende dalla loro capacità di individuare/prevenire errori e dal numero di transazioni che coprono. In linea generale sono da preferire gli “higher level control” in quanto coprono un numero ampio di transazioni e risultano quindi più efficaci ed efficienti. 30 Le componenti del rischio di revisione Rischio inerente X Il rischio di revisione Rischio di controllo La possibilità che un’asserzione contenga errori significativi, supponendo che non vi sia un controllo interno Il rischio che eventuali errori significativi non siano evitati io scoperti dai controlli interni X Rischio di individuazione Lucidi a cura di Silvia Fossati Il rischio che il revisore non individui un errore significativo contenuto nel bilancio 31